Belirti

Bu talimatlar yalnızca x240 M5 sistemi için hazırlanmıştır. Uzaktan Fiziksel Varlık desteği UEFI C4E132H Revizyon 2.50'de eklendi.

Bir sunucuda "Güvenli Önyükleme"yi etkinleştirmek için, sistemi fiziksel olarak açmanız veya herhangi bir dahili DIP anahtarı ayarını değiştirmeniz gerekmez. UEFI kurulumu, fiziksel varlığı uzaktan onaylama yeteneği sağlar. Kullanıcılar ayrıca DIP anahtarı 6 bit 2'yi donanımsal fiziksel varlığı onaylamak için manuel olarak ayarlayabilirler ancak güvenlik nedenleriyle sistem bir işletim sistemine önyükleme yaptıktan sonra fiziksel varlığın onaylanmış olarak bırakılması önerilmez.

Adım 1:
Sunucuyu UEFI Kurulum ekranına başlatın. Sistem ayarlarına gidin --> Güvenlik --> Fiziksel Varlık Politikası Yapılandırması.

Varsayılan modda, kullanıcılar Fiziksel Varlık Politikasının etkin ve gri renkte olmasını beklemelidir. Kullanıcılar Fiziksel Varlık Durumu = Onaylanmamış görecektir.
Not: Herhangi bir nedenle Fiziksel Varlık Politikası devre dışı bırakılırsa, "Uzak Fiziksel Varlık İddiası" sekmesi gri renkte olacaktır. Politikayı devam ettirmek için, önce etkinleştirilmesi gerekecektir. Bunun için DIP anahtarı 6 bit 2 ile donanım fiziksel varlığının ayarlanması ve kurulum için yeniden başlatılması gerekecektir. Ardından, Fiziksel Varlık Politikasını etkinleştirebileceksiniz.
Bu özellik, yöneticilere fiziksel varlığın uzaktan iddia edilmesini önlemek için Fiziksel Varlık Politikasını devre dışı bırakma ek güvenlik özelliği sağlar. Güvenlik nedenleriyle, politika devre dışı olarak ayarlandıktan sonra, DIP anahtarı 6 bit 2 kapatılarak donanım fiziksel varlığı kaldırılmalıdır.

Adım 2:
"Uzaktan Fiziksel Varlık Onayını Değiştir" seçeneğine kadar aşağı kaydırın ve seçip enter tuşuna basın.
Kullanıcılar "fiziksel Varlık Durumu"nun iddia edilene değiştiğini görecekler. İddia etme ve iddia etmeme, etkili olması için yeniden başlatma gerektirmez.

Adım 3:
Şimdi 'Esc' tuşuna basarak bir üst seviyeye çıkın ve: Güvenlik > Güvenli Önyükleme Yapılandırması Sekmesine gidin.

Fiziksel Varlığın mevcut değerini görüntülemek için Fiziksel Varlığı Yenile durumuna basmanız gerekebilir.

Şimdi Güvenlik Önyükleme Yapılandırmasını ayarlayın --> Güvenli Önyükleme --> Devre Dışı'dan Etkin'e değiştirin.

Kullanıcılar "Güvenli Önyüklemeyi Etkinleştirmek istediğinizden emin misiniz? Devam etmek istiyor musunuz? E/H << E girin" şeklinde bir açılır pencere görecekler.

Adım 4:
Şimdi Fiziksel Varlık Politikası Yapılandırması sekmesine geri dönün ve Fiziksel Varlık Durumunu İptal etmek için tekrar --> "Uzaktan Fiziksel Varlık Onayını Değiştir" seçeneğini seçin.

Adım 5:
UEFI Kurulumunun en üst seviyesine gelmek için 'Esc' tuşuna basın, ardından ayarları kaydedin ve yeniden başlatın.

Aynı adımlar güvenli önyüklemeyi devre dışı bırakmak için de kullanılabilir.

Etkilenen Yapılandırmalar

Sistem aşağıdaki Lenovo sunucularından herhangi biri olabilir:

• Lenovo Flex System x240 M5 Hesaplama Düğümü, Tip 9532, herhangi bir model

Bu ipucu yazılıma özel değildir.

Bu ipucu belirli bir seçeneğe özgü değildir.

Sistemde yukarıda anlatılan belirti mevcuttur.

Geçici çözüm

Uygulanamaz.

Ek Bilgiler

Güvenli önyükleme, yürütülen tüm kodların güvenilir ve imzalı olduğundan emin olmak için tasarlanmıştır. Varsayılan modda, Lenovo aygıt yazılımı UEFI modunda yüklenen her şeyi imza doğrulaması yapacaktır.

Güvenli Önyükleme etkinleştirildiğinde, UEFI sürücüleri (Seçenek ROM'ları) ve işletim sistemi dahil olmak üzere her bir yazılım parçasını bilinen iyi imzaların veritabanlarına karşı kontrol eder. Her bir yazılım parçası geçerliyse, aygıt yazılımı ve işletim sistemini çalıştırır. Güvenli Önyükleme işlevi, beklenen imzayla eşleşmeyen ROM içerdiği bulunan herhangi bir adaptör kartının önyükleme yapmasını önleyecektir.

Güvenli önyükleme yalnızca UEFI önyükleme modu için desteklenir, eski önyükleme modu için desteklenmez.

OEM'ler, daha sonra UEFI aygıt yazılımına dahil edilen sürücülerini Lenovo sağlar. Bu, imza veritabanını (db), iptal edilen imza veritabanını (dbx) ve Anahtar Kayıt Anahtarı veritabanını (KEK) içerir. Bu veritabanları üretim zamanında flaşta saklanır.

İmza veritabanı ve iptal edilen imzalar veritabanı, sunucuya yüklenebilen UEFI uygulamalarının, işletim sistemi yükleyicilerinin (Microsoft İşletim Sistemi Yükleyicisi veya Önyükleme Yöneticisi gibi) ve UEFI sürücülerinin imzalayıcılarını veya görüntü karmalarını ve artık güvenilmeyen ve yüklenemeyen öğeler için iptal edilen görüntüleri listeler.

Anahtar Kayıt Anahtarı veritabanı, imza veritabanını ve iptal edilen imzalar veritabanını güncellemek için kullanılabilen imzalama anahtarlarının ayrı bir veritabanıdır. Microsoft, gelecekte Microsoft'un imza veritabanına yeni işletim sistemleri ekleyebilmesi veya iptal edilen imzalar veritabanına bilinen kötü görüntüleri ekleyebilmesi için KEK veritabanına belirli bir anahtarın eklenmesini gerektirir. Bu veritabanları eklendikten ve son ürün yazılımı doğrulaması ve testinden sonra Lenovo ürün yazılımını, doğru anahtarla imzalanan güncellemeler veya ürün yazılımı menülerini kullanan fiziksel olarak mevcut bir kullanıcı tarafından yapılan güncellemeler dışında düzenlemeye karşı kilitler ve ardından bir PK oluşturur. PK, KEK'e güncellemeleri imzalamak veya Güvenli Önyüklemeyi kapatmak için kullanılabilir.

Genel olarak, PK, KEK, db, dbx'in bir öncelik sırası (en önemliden en önemsize doğru) vardır. Yani:

- Bir KEK'i güncellemek için doğru PK'ya sahip bir imzanız olması gerekir.

- Bir veritabanını veya veritabanıx'i güncellemek için doğru PK veya KEK'e sahip bir imzanız olması gerekir.

- Güvenli Önyüklemeyi etkinleştirmek için bir PK gereklidir.

Desteklediğimiz modları anlamak için anahtar açıklamaları önemlidir. Güvenli Önyüklemenin iki (2) modu vardır: Standart ve Özel.

Standart Mod, bir kullanıcının Microsoft tarafından imzalanmış sertifikalardan faydalanmasını sağlar. Bu sertifikalar, UEFI'nin tüm seçenek ROM'larını ve işletim sistemlerinin imzalanmış ve geçerli olduğunu doğrulamasını sağlar. Bunlara hem Windows hem de Linux için üçüncü taraf sertifikaları dahildir. Esasen, bu varsayılanların güvenli önyükleme sertifikalarında standart modumuzda kullanılmasına izin veriyoruz. Buna bir PK, birden fazla KEK, db ve dbx dahildir.

Özel Mod, bir kullanıcının kendi anahtar setini yüklemesine olanak tanır. Güvenli Önyükleme durumu için özellikler, bir PK olmadan Özel Modda bir önyüklemenin gerçekleşmesine olanak tanır. Bu, bir işletim sisteminin daha sonra kendi KEK, db ve dbx'ini doğrulamak için kullanılacak yeni bir PK kaydetmesine olanak tanır.

Güvenli Önyükleme Modu'nda varsayılan değer Standart Mod'dur ve varsayılan Güvenli önyükleme Devre Dışı'dır.

Fiziksel Varlık:
Fiziksel Varlık, belirli TPM işlevlerini gerçekleştirmek için bir yetkilendirme biçimidir. Bu yetkilendirme normalde platform operatöründen gelir. TPM 1.2 aygıtları için, fiziksel varlık gerektiren işlevler, geçerli sahip yetkilendirme değeri bilinmediğinde sahipliğe izin verme ve sahipliği temizleme gibi sağlama ve yeniden sağlama işlemlerini gerçekleştiren işlevlerdir. TPM 2.0 aygıtları için, fiziksel varlık, platform yetkilendirmesi gerektiren ancak işletim sistemi tarafından başlatılan işlemlerle ilişkilidir. Genellikle, platform yetkilendirmesi yalnızca aygıt yazılımı tarafından verilebilir, işletim sistemi tarafından değil. Fiziksel varlık yetkilendirmesi sağlamanın iki yöntemi vardır: komut yöntemi ve donanım yöntemi. Bu iki yöntem, TPM 1.2 aygıtları için TPM 1.2 Ana Spesifikasyonunda ve TPM 2.0 aygıtları için PC İstemci Platformu TPM Profili Spesifikasyonunda tanımlanmıştır.

Fiziksel varlığı doğrulamak için donanım yöntemi:
Donanım yönteminin bir uygulamasının bir örneği, TPM'deki bir pine bağlı sistem kartındaki bir DIP anahtarıdır. Anahtarı ayarlamak, pinin polaritesini değiştirmesine ve TPM'nin dahili fiziksel varlık bayrağını ayarlamasına neden olur. Bu donanım yöntemini kullanarak, fiziksel varlığın belirtilmesini gerektiren komutlar, anahtar ayarlandığı ve TPM 2.0 için platform yetkilendirmesi mevcut olduğu sürece herhangi bir zamanda (işletim sistemi öncesi ortamda veya işletim sistemi ortamından) yürütülebilir. Bu, anahtar iddia edilen konumda bırakılırsa bir güvenlik endişesi oluşturur.

Fiziksel varlığı iddia etmek için komut yöntemi:
Bazı durumlarda maliyet, form faktörü, kullanım veya erişilebilirlik nedeniyle platformun dışına bir düğme veya anahtar sağlamak mümkün değildir. Bu nedenle, komut yöntemi adı verilen fiziksel varlığı iddia etmenin ikinci bir yöntemi tanımlanmıştır. Komut yöntemi için, aygıt yazılımı talep edilen işlemi açıklamak için bir kullanıcı arayüzü (UI) sunar. Fiziksel olarak mevcut bir kullanıcı, klavyedeki bir tuşa basarak işlemi onaylar veya reddeder. Komut yöntemi daha sonra TPM komutunun TPM'ye gönderilmesini yetkilendirir. TPM'de fiziksel varlık için başka bir kontrol yapılmaz. Kullanıcı UI aracılığıyla onayladıysa TPM, TPM işlemini gerçekleştirir. Fiziksel varlığın belirtilmesi için gereken özelliklerden biri, platform operatörü, genellikle kullanıcı tarafından, platformda fiziksel olarak mevcut olduğunda yapılması gerektiğidir. Bu, komut yönteminin yalnızca platform durumu bu güvenceyi sağlayabildiği sürece kullanılabilir olmasıyla sınırlandırılmasını gerektirir. Bu durum genellikle bir ağ yığınının kullanılabilirliğinden ve potansiyel olarak güvenilmeyen yazılıma maruz kalmadan önce UEFI kurulumuna önyükleme sırasında mevcuttur.